科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道玩转无线交换机 组建无线网实战攻略(3)

玩转无线交换机 组建无线网实战攻略(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 WLAN交换机能够通过有线连接(借助一个交换机端口)连接到WLAN接入点(AP)。它们还能通过它们的其他交换机端口连接到企业网络。这些交换机是连接到企业有线网络的“网关”――所有来自于WLAN客户端的数据帧都必须通过WLAN交换机发送到企业网络。

来源:论坛整理 2008年7月10日

关键字: 攻击防范 网络安全 无线安全

  • 评论
  • 分享微博
  • 分享邮件
 AC的发现和选择

  WTP可以通过发现请求消息,发现可供连接的AC.一个或者多个AC(根据网络拓扑的不同)会响应这些请求消息。AC和WTP之间的通信是通过用户数据报协议(UDP)进行的。WTP会决定连接哪一个AC,再试图与该AC建立一个安全的会话。后续的CAWAP分组将通过安全会话发送。

  接着,AC和WTP之间会进行配置交换。这些交换包括:

  * IEEE SSID

  * 安全参数(用于WEP、WPA和WPA2)

  * 广播的数据速率(11或者54Mbps)

  * 需要使用的无线通道

 

  CAPWAP功能

  CAPWAP控制消息包括下列消息类型:

  * 发现

  * WTP配置-用于向WTP发布一个特定的配置,以及从WTP获取统计信息;统计信息包括下列信息:

  * 分段数据帧的个数,以及发送、接收的组播数据帧的个数

  * 发送重试的次数,过度重试的次数(失败次数)

  * 成功发送和失败的发送请求(RTS)的个数

  * 出错数据帧的个数:重复数据帧,错误确认,解密错误,帧检查序列(FCS)错误数等

  配置包括信标期限、最大发送功率等级、正交频分多路复用(OFDM)控制、天线控制、支持速率、QoS和加密等。

  * 移动会话管理-向WTP发布特定的移动策略

  AC能添加关于特定移动设备的策略信息,包括WTP应当为该移动设备使用的安全参数。它可能包括WTP是否应当为该移动设备转发或者丢弃流量。

  * 固件管理――用于向WTP发布特定的固件镜像。

  AC和WTP交互

  WTP能提供多种信息,例如硬件、软件或者引导版本;最大无线频段数;当前使用的无线频段;加密功能;无线频段类型(802.11b/g/a/n);MAC类型(本地、分离或者两者皆有);隧道模式;以及AC和WTP之间的帧类型(例如,本地桥接或者自带桥接――即将所有用户载荷封装为原始无线帧)。

  AC信息包括硬件或者软件版本,目前与AC关联的移动基站的个数,目前连接到AC的WTP个数,所有这些设备的最大数量,AC和WTP之间的安全参数(身份验证证书),控制IPv4或者IPv6地址等。

  因为WTP属于“适中AP”,它们还能配置一个来自AC的IP地址。另外一个可供配置的参数是MAC地址级别的ACL.

  随时可以通过AC重启(重新设定)WTP.WTP能独立地通过一个镜像数据请求来索取一个新的镜像,之后接收镜像数据响应和镜像数据本身。

  在WTP确定需要向AC发送重要的信息时,WTP会发出事件。这些信息可能包括用于从WTP向AC发送调试信息的数据传输消息。

 无线资源管理

  无线资源管理是一个通用词汇,用以描述在AP上对无线频段的控制和配置。控制的类型包括自动地或者根据用户的输入降低和提高强度――例如,如果由一个AC控制的两个WTP互相干扰,那么AC会向其中一个AP发送一个信号,降低它的强度。它还可以根据用户的配置执行该操作。

  有些WTP还被设置为能够充当“无线监视器”;即它们能在不发送数据时监控通道。人们目前对于这种WTP使用模式的有效性还存有一定的争议―― 有些供应商使用专门的无线监视器,而不是让它们的WTP承担双重职能。在使用专用无线监视器的情况下,无需担心降低客户基站服务质量的降低,就能扫描和监视所有通道。

  无线监视器能将所有与其他接入点有关的信息转发到AC.AC能够判断信息针对的是一个有效的WTP(即的确存在于网络之上,并且已经注册到AC),还是一个“恶意”接入点。如果针对的是一个恶意接入点,AC可以执行多个步骤,防止客户端连接到该AP――例如,它可以命令无线监视器通过提高同一个通道上的发射功率,“阻止”这个恶意AP.

  移动管理

  移动管理可以采取两种形式――第二层和第三层移动。假设一个客户端从一个WTP移动到另外一个WTP――当一个使用笔记本电脑的用户在同一栋大楼的两个会议室之间移动时,可能会发生这种情况。客户基站会重新关联新的WTP,之后进行身份验证。请注意,在它与新的AP“建立起” 关联之前,它与原先的AP的关联会被“中断”;因此WLAN中的切换被称为“先中断,后建立”。虽然这种方式可能导致潜在的流量中断(和重新传输),但是它仍然优于“先建立,后中断”(用于蜂窝网络的通信),可以保持客户端无线连接的简便和廉价。

  理解第二层和第三层移动的方法之一是将第二层移动视为在受同一个AC控制的(即隶属于同一个第三层网络)AP之间的移动,而第三层移动则是在受不同AC控制的AP之间的移动。

  第二层移动网络管理

  第二层移动意味着当基站从一个WTP移动到另外一个时,IP寻址能力不会受到影响,这意味着所有的AP都位于同一个第二层网络上,即它们都连接到同一个AC(参见图4)。为了防止发送第二层客户端的数据丢失,WLAN交换机现在必须将客户端数据转发到新的WTP.在客户端关联之后,新的WTP会发出一个以太网帧到AC,并将客户端的MAC地址作为源地址。交换机现在能将客户端的MAC地址关联到连接新WTP的端口。

  虽然这种流程适用于AP和AC之间的第二层(交换网络)连接,但是在它们之间使用隧道连接时,需要一种略有不同的方法。AC会在从新的WTP收到MAC帧之后,将客户端的映射转移到一个不同的隧道(即一个虚拟端口)。

  第二层切换的另外一个需要考虑的问题是WTP的数据缓存。在正常情况下,交换机或者AC在从新的WTP收到信息之前不会意识到切换的必要性。但是,如果WTP具有增强的统计信息,它就可以判定某个特定的客户端已经从原先的WTP移出,从而停止向原先的WTP转发数据。这些统计信息可能包括:无线链路上的载波侦听多点接入/冲突避免(CSMA/CA)MAC层协议的最大重试次数。交换机并不需要缓存数据,因为它并不清楚什么时候需要切换到新的 WTP.这种方式有助于避免在原有WTP和AC之间的链路上浪费流量。

  有些供应商借助胖AP,为解决这个问题采取了一种不同的方法。根据这种方法,AP会在从交换机收到一个表明客户端已经转移到另一个交换机端口的数据帧之前,一直缓存流量。这些AP能将缓存的流量发送到交换机,再由交换机转发流量到新的WTP.因为我们的目的是降低WTP的复杂性,这种方法在集中式AC+WTP架构中显然不是首选的方法。

  第二层漫游的另一个重要特点是需要在新的WTP上进行预先身份验证。通过802.11i,客户端可以针对相邻WTP进行预先身份验证,以使得向不同WTP的漫游不需要经历冗长的身份验证流程,即不需要向新WTP发送双主密钥(PMK)。(但是仍然需要获得双过渡密钥[PTK].)

  当AC为某个特定客户端保持PMK时(通过与一个RADIUS服务器的交互),该流程将自动进行――即AC将针对客户端的PMK发送到新的WTP.802.11帧的加密仍然利用新的PTK,由原有的和新的WTP完成。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章